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(57) Abstract 

The invention relates to a device for pro- 
tecting a data terminal, specially a personal 
computer, connected to a digital communica- 
tion network against unauthorized external ac- 
cess. To this end, the device (60) is interposed 
between at least one data terminal (20, 30) and 
a network terminal (50), which are connected 
via a terminal end connection (40). At least 
one storage device (80, 85) is provided for the 
intermediate storage of a call number transmit- 
ted by the data terminal (20, 30) via a control 
channel. At least one predetermined call num- 
ber is filed m a second storage device (1 10). 
A comparator compares the call number stored 
in the intermediate memory with each of the 
predetermined stored call numbers. In case of 
positive comparison results, the device trans- 
mits the call number stored in the intermediate 
storage to the network terminal or blocks the 
transmission of the call number in case of neg- 
ative comparison results thereby impeding connection to a hacker. 
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(57) Zusammenfassung 

Die Erfindtmg beoifft eine Vorachtung zum Schutz ciner an ein digitalcs Kommunfltttioiisnctz angeschalteten Datenendemrichtung, 
insbesondere eines Pcrsonal-Coraputeis, gegen unberechtigte exteme Zugriffe. Daiu ist die Vorrichtung (60) zwischen weaigswis eine 
Datcoendeinrichtung (20, 30) und cine NctzabscMuBeinrichtung (50) zwiachcngeacnallct, die fiber cine Endcinrichtungs-AiischluCleitUTig 
C40) verbunden rind. Wenigstens eine erste Sprichereinrichtung (80, 85) ist vorgesehen, um eine von der Dataiendeumchnifig (20, 30) 
Qber einen Steuerkanal ubcrtragene Rufhurnrner zwischexizuspeichern. In einer zweiten Speichercinrichnmg (110) ist wenigstens eine 
vorbestimmte Rufnumraer abgelegL Eine Vergletchseinrlchtung vergleicht die zwischengespeicherte Ruminnmex mit jeder gespcichcrteD 
vorbestiinmten Rufatnnmer. In Abhangigkeit von einem positiven Vergleichsergebnis leitet eine Einrichtung die zwischengespeicherte 
Rufnummer zur NetzabsthluBcinriditung weiter oder sperrt in Abhangigkeit von einem negativen Vergleichsergebnis die Wcitcrgabc der 
Rufnummer und verhinden damit einen Verbindungsaufbau zu einem Eindringling. 



Codes zur Idendfizierung von PCT-Vertragsstaaten auf den Kopfbogen der Schriften, die inremationale Anmcldimgen gerniify; dem 
PCT veroffcntlichen. 



LEDIGUCB ZDR INFORMATION 



AL 

AM 

AT 

AU 

AX 

BA 

BB 

BE 

BJ 

BG 

BJ 

BR 

BY 

CA 

CF 

CG 

CH 

CI 

CM 

CN 

CU 

CZ 

DE 

DK 

EE 



Afomien 

Annoucn 

Oaterrcich 

Australian 

Aaerboidachan 

Bosoieo*HerzegovnTU 

Belgiea 

BujUju Paso 

Bulgaria] 

Benin 

BruHion 

Bel inn 

Kanad* 

Zeraralafrikanischo Republtk 

Kongo 

Sdrwciz 

Cflte d" I voire 

Karaerun 

Kuti 

Tschechbchr. RepubBk 
Deutkchlsnd 
Dlnemarfc 
EttlBJid 



es 
fi 

FR 

GA 

GB 

GE 

GH 

GN 

GR 

HU 

IE 

IL 

IS 

IT 

JF 

KE 

KG 

KP 



Spanien 
FnxnJand 
Fnabcich 
Gibun 

V«einigt» KAnigreich 

Oeorgtcu 

Ghana 

Gums* 

GnedtenLunJ 

Unjim 

Jxtad 

Isrnd 

bland 

ftalien 

Japan 

Kenia 

Kngsistan 

Damotatbchc VoBcwepuWik 
Korea 

RopcbUk Korea 

Kuactuuo 

SI Loot 

Liechtenstein 

SriLanki 

Liberia 



LS 

LT 

LU 

LV 

MC 

MD 

MC 

MK 



ML 

MN 

MR 

MW 

MX 

NE 

NL 

NO 

NZ 

PL 

PT 

RO 

RU 

SD 

SE 

sc 



Lesotho 

Lkauen 

Luxemburg 

Lcttland 

Monaco 

RepuWik Moisten 
Madagaskar 

Die ebemalige jugcaliwischa 
Rcoublik Mazedonien 
Mall 

Mmgnki 

MauxetanieD 

Malawi 

Meaiko 

Niger 

Nlederlande 

Norwegen 

Neaiecland 

Polan 

Portugal 

RjLnn&nid 

Russitche Federation 

Sudan 

ScAwedcn 

Stngapur 



SI 
SK 
SN 

sz 

TD 
TG 
TJ 
TM 
TR 
TT 
UA 

uc 
us 



TJZ 

VN 
YD 
zw 



SlowenJen 

Sk)v»nlcei 

Senegal 

Swattiand 

Tschad 

Togo 

TadtcbikUtaa 
Tmkmcni tian 
TDrket 

Trinidad und Tobago 

Ukraine 

Uganda 

Vereinigte Staaien vco 

Amerika 

Ukbekutan 

Vietnam 

Jngoslawien 

Zimbabwe 



KR 
KZ 
LC 
U 
LK 
LR 



WO 98/53635 



PCT/£P98/02m 



Verbindnncrsaufbau-Uberwaghpngavorrichtung 

r Die Erf indung handelt von einer Vorrichtung zum 
Schutz einer an ein digitales Komraunika t ions net z 
angeschalteten Datenendeinrichtung, insbesondere eines 
Personal Computers, gegen unberechtigte externe Zugriffe. 

Datenendgerate, wie z. B. FaxgerSLte oder Personal 
Computer/ sind teilnehmerseitig mittels einer eingesteckten 
ISDN-Schnittstellenkarte an den Sq-Bus einer 

ISDN-AnschluBkonfiguration angeschaltet . Es sind heutzutage 
Angriffssszenarien bekannt, bei denen wahrend der Herstellung 
von solchen ISDN-Schnittstellenkarten in die jeweilige 
Kommunikations-Anwendungsschnitts telle sogenannte "Viren" 
oder "Trojanische Pferde" implementiert werden. Solche 
"Trojanischen Pferde M enthalten die Rufnummer eines 
Eindringlings und sind in der Lage, von dem befallenen 
Datenendger&t aus einen Verbindungsaufbau zu dem Eindringling 
aufzubauen, der danach unmittelbaren Zugriff zu 
Datenbestanden und Anwendungsprogrammen des befallenen 
Datenendgerats hat. 

Der Erf indung liegt daher die Aufgabe zugrunde, eine 
Vorrichtung zu schaffen, mit der an ein digitales 
Kommunikat ions net z angeschaltete Datenendeinrichtungen gegen 
unberechtigte externe Zugriffe geschiitzt werden konnen. 

Dieses technische Problem 16st die Erfindung mit den 
Merkmalen des Anspruchs 1. Vorteilhafte Weiterbildungen sind 
in den Unteransprtlchen angegeben. 

Urn einen unberechtigten externen Zugriff auf eine an 
ein digitales Kommunikat ionsnetz angeschaltete 
Datenendeinrichtung zu verhindern, ist eine Vorrichtung/ im 
Nachfolgenden "Verbindungsaufbau-Uberwachungsgerat" genannt, 
zwischen wenigstens eine Datenendeinrichtung und eine 
NetzabschluBeinrichtung, die liber eine 
Endeinrichtungs-Anschluflleitung verbunden sind, 
zwischengeschaltet. Das Verbindungsauf bau-Uberwachungsgerat 
enthSlt wenigstens eine erste Speichereinrichtung zum 
Zwischenspeichern einer von der Datenendeinrichtung Uber 
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einen steuerkanal ubertragenen Rufnummer. Daruber hinaus ist 
eine zweite Speichereinrichtung vorgesehen, in der wenigstens 
eine vorbestimmte Rufnummer ablegbar ist. Eine 
Vergleichseinrichtung dient dazu, die zwischengespeicherte 
Rufnummer mit jeder vorbestimmten gespeicherten Rufnummer zu 
vergleichen. Ferner enthSlt das 

Verbindungsaufbau-Uberwachungsgerat eine Einrichtung, die in 
AbhSngigkeit von einera positiven Vergieichsergebnis der 
Vergleichs einrichtung die zwischengespeicherte Rufnummer zur 
NetzabschluAeinrichtung weiterleitet und in Abhangigkeit von 
einem negativen Vergieichsergebnis die weitergabe der 
Rufnummer sperrt und damit einen Verbindungsauf bau zu einem 
der Rufnummer zugeordneten Teilnehmer verhindert. 

Sind mehrere Datenendeinrichtungen an die 
Endeinrichtungs-AnschluBleitung angeschaltet , so ist in der 
zweiten Speichereinrichtung fur jede Datenend einrichtung 
wenigstens eine vorbestimmte Rufnummer abgespeichert. Auf 
diese Weise kann jede angeschaltete Datenendeinrichtung nur 
zu dem Teilnehmer eine Verbindung aufbauen,' dessen Rufnummer 
in der zweiten Speichereinrichtung abgelegt ist. 

Das Verbindungsaufbau-Uberwachungsgerat weist ferner 
eine Steuereinrichtung auf , die zweckm&Mgerweise bei einem 
negativen Vergieichsergebnis die zwischengespeicherte 
Rufnummer aus der ersten Speichereinrichtung loscht. 

Teilnehmerseitig ist in dem 
Verbindungsaufbau-Uberwachungsgerat ein Steuerkanal-Decoder 
vorgesehen, der die von der rufenden Datenendeinrichtung 
ubertragene verbindungsaufbauinformation empfangt und daraus 
die Rufnummer und die Identif ikationsnummer der rufenden 
Datenendeinrichtung gewinnt. 

Die Steuereinrichtung ist derart programmiert , dafl 
sie unter Ansprechen auf die vom Steuerkanal-Decoder 
erhaltene Identif ikationsnummer nur die in der zweiten 
Speichereinrichtung gespeicherten Rufnummern an die 
vergleichseinrichtung anlegt, die der entsprechenden 
Datenendeinrichtung zugeordnet sind. Auf diese Weise wird 
verhindert, daJ3 die Vergleichseinrichtung die 
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zwischengespeicherte Rufnummer mit alien in der zweiten 
Speichereinrichtung gespeicherten Rufnummern vergleichen mu£. 

Wird der Steuereinrichtung von der 
vergleichseinrichtung signalisiert , daB die 
zwischengespeicherte Ruf nummer mit einer der in der zweiten 
Speichereinrichtung gespeicherten Ruf nummer ubereinstimmt, 
deaktiviert sie den Steuerkanal-Decoder , so daB nach einem 
Verbindungsaufbau die Endeinrichtungs-AnschluBleitung von der 
angeachalteten Datehendeinrichtung durch das 
Verbindungsaufbau-UberwachungsgerSt zur 
NetzabschluBeinrichtung durchgeschaltet ist. 

Die erste Speichereinrichtung zur Zwischenspeicherung 
einer zu rufenden Rufnummer ist zweckmaBigerweise ein 
Schieberegister, in das die Rufnummer seriell eingetaktet 
wird. 

. GemSB einem Ausf lihrungsbeispiel weist die 
NetzabschluBeinrichtung eine iSDN-AnschluBkonf iguration mit 
einer. S 0 -Schnitts telle auf. Die ISDN-AnschluBkonf igur at ion 

kann fiir einen BasisanschluB umfassend zwei Nutzkanaie und 
einen Steuerkanal oder einen PrimarmultiplexanschluB 
umfassend 30 NutzkanMle und einen Steuerkanal ausgelegt. sein. 
Bei der Endeinrichtungs-AnschluBleitung handelt es sich in 
v diesem Fall urn einen Sg-Bus, wobei der Steuerkanal der 

D-Kanal ist. 

Das verbindungsaufbau-Uberwachungsgerat kann eine 
Tastatur zur Eingabe der vorbestimmten Rufnummern in die 
zweite Speichereinrichtung aufweisen. Erg&nzend oder 
alternativ kann eine Schnittstelle zum Anschalten eines 
Computers vorgesehen sein, liber den die Steuereinrichtung 
programmierbar ist und die vorbestimmten Rufnummern fttr die 
jeweiligen Datenendeinrichtungen eingegeben werden konnen. 

Falls ein externer Angriff auf eine angeschaltete 
Datenendeinrichtung erfolgt, ist eine Einrichtung zur 
optischen und/oder akustischen Signalisierung eines 
verbindungsabbruchs vorgesehen. 

Anstatt das Verbindungsaufbau-Uberwachungsger&ts als 
separate Einheit in die Endeinrichtungs-AnschluBleitung 
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einzuschleifen, ist es denkbar, das Gerat in der 
NetzabschluBeinr ichtung anzuordnen . 

Die Erf indung wird nachfoigend anhand eines 
Ausfiihrungsbeispiels in Verbindung mit den beiliegenden 
Zeichnungen naher eriautert. Es zeigen: 
Fig. 1 ein stark vereinf achtes Blockschaltbild eines 

ISDN-Netzes, an das beispielsweise zwei Endeinrichtungen 

angeschaltet sind, und 
Pig. 2 das in Fig. 1 dargestellte, erf indungsgemaBe 

Verbindungsaufbau-UberwachungsgerSt . 

Fig. 1 zeigt schematised dargestellt ein I SDN -Net z 
10, an das zwei Datenendeinrichtungen, in unserem Beispiel 
zwei Personal-Computer 20 und 30, uber einen Sq-Bus 40 und 

uber eine NetzabschluBeinr ichtung 50 angeschaltet sind. Fur 
unser Beispiel sei angenommen, dafl die 
NetzabschluBeinrichtung 50 fur einen iSDN-BasisanschluB 
umfassend zwei B-Kanale (Nutzkanale) und einen D-Kanal 
(Steuerkanal) ausgebildet ist. Es sei darauf hingewiesen, daB 
die Erfindung in jedem digitalen Kommunikationsnetz Anwendung 
finden kann, in dem Verbindungsaufbauinf ormationen liber einen 
getrennten steuerkanal Ubertragen werden. Jeder 
Personal-Computer 20, 30 ist mit einer 

ISDN-Schnittstellenkarte versehen, uber die er an den Sq-Bus 
40 angeschaltet ist. Der hier benutzte Sq-Bus 40 kann mit 
maximal acht Endeinrichtungen verbunden sein. Falls in einer 
Oder beiden ISDN-Schnittstellenkarten der jeweiligen Computer 
20 und 30 ein sogenanntes Trojanisches Pferd implementiert 
ist, konnen die befailenen Computer 20 und 30 veranlaBt 
werden, zu ein em Angreifer eine Verbindung aufzubauen, iiber 
die der Angreifer unmittelbar in die Personal-Computer 20 und 
30 eindringen kann- Urn einen solchen Angriff zu vermeiden, 
ist teilnehmerseitig in den Sq-Bus 40 zwischen den 

Personal-Computern 20 und 30 und der NetzabschluBeinrichtung 
50 ein Verbindungsauf bau-tiberwachungsgerat 60 eingeschleift . 
wie nachfoigend noch ausfuhrlicher eriautert wird, dient das 
Verbindungsaufbau-Uberwachungsgerat 60 dazu, den Aufbau einer 
Verbindung nur zu vorbestimmten- Teilnehmern zuzulassen. 
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Fig. 2 zeigt ein mogliches Blockschaltbild zur 
schaltungstechnischen Realisierung des 

verbindungsauf bau-Uberwachungsgerates 60 . Teilnehmerseitig 
weist das Verbindungsaufbau-Uberwachungsgerat einen 
Steuerkanal-Decoder, in unserem Beispiel einen 
D-Kanal-Decoder 70, auf. 

Der D-Kanal-Steuerkanal-Decoder 70 hat die Aufgabe, die von 
den Personal-Computern 20 und 30 kqmmenden 

Verbindungsaufbau-Inf ormationen zu empfangen und daraus die 
gewunschte Rufnummer sowie die den jeweiligen 
Personal-Computer kennzeichnende Identif ikationsnummer. zu 
gewinnen. Da der hier benutzte ISDN-Basisanschlufi liber zwei 
B-KanSle verfiigt, konnen die beiden Personal-Computer 20 und 
30 gleichzeitig mit verschiedenen Teilnehmern kommunizieren. 
Aus diesem Grund ist der D-Kanal-Decoder 70 ausgangsseitig 
mit zwei Speichereinrichtungen 80, 85 verbunden. Die 
Speichereinrichtungen 80, 85 ktinnen als Schieberegister 
ausgebildet sein. Eingangsseitig ist der D-KanalrDecoder mit 
dem Sq-Bus 40 verbunden. Der S 0 -Bus 4 0 verlaBt 

ausgangsseitig den D-Steuerkanal-Decoder 70 und flihrt-an den 
Eingang der Netzabschlufteinrichtung 50, Jedes Schieberegister 
80, 85 ist beispielsweise liber einen Schalter 90 bzw. 95 mit 
dem Sq-Bus 4 0 am Aus gang des. D-Steuerkanal-Decoders 70 

verbunden. Der D-Steuerkanal-Decoder 70 filtert, wie bereits 
erwahnt, aus der Verbindungsaufbauinf ormation die Rufnummer 
aus und schiebt sie in eines der Schieberegister 80, 85 ein. 
Der Ausgang der Schieberegister 80, 85 ist jeweils 
eingangsseitig mit einer Vergleichseinrichtung 100 verbunden. 
An einen weiteren Eingang der Vergleichseinrichtung 100 ist 
eine Speichereinrichtung 110 angeschlossen, in der fur jeden 
Personal -Computer 20 und 30 vorbestimmte Rufnummern abgelegt 
sind. Eine Steuereinrichtung 120 ist eingangsseitig mit einem 
Ausgang des D-Steuerkanal-Decoders 70 verbunden und empfangt 
von dem D-Steuerkanal-Decoder 7 0 die Identif ikationsnummer 
des jeweils rufenden Personal-Computers 20 und/oder 30. 
Ferner ist die Steuereinrichtung 120 mit den beiden Schaltern 
90 und 95, der Speichereinrichtung 110 und der 
Vergleichseinrichtung 100 verbunden. Das 
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Verbindungsaufbau-iiberwachungsgerat 60 kann ferner eine 
Tastatur aufweisen, liber die die vorbestimmten Rufnummern fur 
die Personal-Computer 20 und 3 0 in die Speichereinrichtung 
110 eingegeben werden konnen. Alternativ oder erg&nzend kann 
das Verbindungsaufbau-tiberwachungsgerat 60 eine Schnitts telle 
aufweisen, an die ein Computer (nicht dargestellt) 
angeschaltet sein kann- Hit Hilfe des Computers konnen 
beispielsweise vorbestimmte Rufnummern in die 
Speichereinrichtung 110 eingeschrieben werden. Die 
Steuereinrichtung 120 ist auch mit einer optischen und/oder 
akustischen warneinrichtung (nicht dargestellt) verbunden. 
Die Warneinrichtung wird von der Steuereinrichtung 120 
aktiviert, einen Verbindungsabbruch zu signalisieren, wenn 
die Vergleichseinrichtung 100 feststellt, da/5 die im 
Schieberegister 80 und/oder 85 zwischengespeicherte Rufnummer 
nicht mit einer der in der Speichereinrichtung 110 abgelegten 
Rufnummer libereinstimmt . Beispielsweise kann das Warnsignal 
liber den D-Kanal des S 0 -Busses 40 zum Personal-Computer 20, 
30 gesendet werden und dort ein optisches oder akustisches 
warns ignal auslosen. Obwohl das erf indungsgemaBe 
Verbindungsaufbau-Uberwachungsgerat 60 als separate 
Einrichtung beschrieben ist, kann es in der 
Netzabschlufleinrichtung 50 selbst angeordnet sein. Die 
Speisung des Verbindungsaufbau-Uberwachungsgerats 60 erfolgt 
beispielsweise tiber eine eigene Stromversorgungseinrichtung 
(nicht dargestellt)* 

Es wird nunmehr die Funktionsweise des 
erfindungsgemaJien verbindungsaufbau-Uberwachungsgerats 60 
erlautert. Es sei angenommen, da£ in der Speichereinrichtung 
110 fur den Personal-Computer 20 zwei Rufnummern, 
beispielsweise die Rufnummern 1010 und 1111, und fur den 
Personal-Computer 30 ebenfalls zwei Rufnummern, 
beispielsweise die Rufnummern 1000 und 0001, abgelegt sind. 
Im Anfangszustand seien ferner die Schalter 90 und 95 
geoffnet. Wir gehen zunachst davon aus, da£ der 
Personal-Computer 20 einen verbindungsaufbau zu einem 
Teilnehmer mit der Rufnummer 1111 einleiten raochte. Dazu 
sendet er uber den D-Kanal des S 0 -Busses 40 in einem 
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festgelegten Protokoll die Rufnummer 1111 zum ISDN-Netz 10. 
Die vom Personal-Computer 20 ausgesendete 

verbindungsaufbauinf ormation, die sowohl die Rufnummer 1111 
als auch seine Identif ikationsnummer enthalt, wird zum 
D-Kanal-Decoder 70 des Verbindungsauf bau-Uberwachungsgerates 
60 ubertragen. Der D-Kanal-Decoder 70 leitet aus der 
Verbindungsaufbauinf ormation die Identif ikationsnummer ab und 
ubertragt sie zur Steuereinrichtung 120. Die 
Steuereinrichtung 120 sorgt daftir, daJ3 die beiden in der 
Speichereinrichtung 110 fur den Personal-Computer 20 
gespeicherten Rufnummern 1111 und 1010 nacheinander an die 
vergleichseinrichtung 100 angelegt werden. Der 
D-Kanal-Decoder 70 leitet auBerdem aus den empfangenen 
Verbindungsaufbauinf ormationen die Rufnummer 1111 ab und 
leitet sie an das Schieberegister 80 weiter. Anschliefcend 
wird die zwischengespeicherte Rufnummer des Schieberegisters 
80 an die Vergleichseinrichtung 100 angelegt und nacheinander- 
mit den beiden Rufnummern/ die von dem Speicherregister 110 
angelegt werden, verglichen. Die Vergleichseinrichtung 100 
signalisiert der Steuereinrichtung 120 , dafi die 
zwischengespeicherte Rufnummer mit einer der beiden 
vorbestimmten Rufnummern ubereinstimmt , die dem r 
Personal-Computer 20 zugeordnet sind. Daraufhin schlieJ3t die 
Steuereinrichtung 120 den Schalter 90 , und das 
Schieberegister 80 schiebt die gespeicherte Rufnummer 1111 
auf den Sq-Bus 40. Die akzeptierte Rufnummer wird iiber die 

Netzabschluiieinrichtung 50 zu einer entsprechendenv 
Vermitt lungs s telle des ISDN-Netzes 10 ubertragen, woraufhin 
eine Verbindung zwischen dem Personal-Computer 20 und ^dem 
gerufenen Teilnehmer mit der Rufnummer 1111 ' her gestellt wird. 
Nachdem die Rufnummer zum ISDU-Netz 10 ubertragen worden ist, 
deaktiviert die Steuereinrichtung 120 den D-Kanal-Decoder 70 
und offnet wieder den Schalter 90. Auf diese Weise ist der 
Personal-Computer 20 unmittelbar liber den Sq-Bus 40 mit der 

NetzabschluBeinrichtung 50 und mit dem gerufenen Teilnehmer 
verbunden. Jetzt kbnnen zwischen dem gerufenen Teilnehmer und 
dem Personal -Computer 20 Daten ausgetauscht werden. 
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Es sei femer angenommen, daB auch der zweite 
Personal-Computer 30 einen Verbindungswunsch hat. Dazu sendet 
der Personal-Computer 30 seine Verbindungsaufbauinf ormationen 
zunachst zum D-Steuerkanal-Decoder 70. In unserem Beispiel 
enthalt aber die ISDN-Schnittstellenkarte des 
Personal-Computers 30 ein Trojanisches Pferd, das diesen 
Verbindungsaufbauwunsch mit der Rufnuramer 0110 einleiten 
mSchte. Der D-Kanal-Decoder 70 filtert die Rufnummer aus der 
verbindungsaufbauinformation her aus und schiebt sie in das 
Schieberegister 85. Femer entnimmt der D-Kanal-Decoder 70 
der Verbindungsaufbauinformations die Identif ikationsnummer 
des Personal-Computers 30 und leitet diese der 
Steuereinrichtung 120 zu. Die Steuereinrichtung 120 sorgt 
wiederum dafur, daJ3 diesmal die beiden dem Personal-Computer 
30 zugeordneten Rufnummer n 0001 und 1000 aus der 
Speichereinrichtung 110 an die Vergleichseinrichtung 100 
nacheinander angelegt werden. Die vergleichseinrichtung 100 
vergleicht nun nacheinander die in dem Schieberegister 85 
zwischengespeicherte Rufnummer 0110 mit den zuiassigen 
Rufnummern fur den personal-computer 30. Da die 
vergleichseinrichtung 100 keine Ubereinstimmung zwischen den 
Rufnummern feststellt, bleibt der Schalter 95 geBffnet, und 
der Verbindungsaufbau wird damit- abgebrochen. Gleichzeitig 
loscht die Steuereinrichtung 120 den Inhalt des 
Schieberegisters 85. 

Dariiber hinaus wird die nicht dargestellte optische und 
akustische Warneinrichtung aktiviert, urn den 
Verbindungsabbruch und damit dem Teilnehmer einen externen 
Angriff auf den Personal-Computer 30 zu signalisieren. 
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p^tentansprtiche 

1. vorrichtung zum Schutz einer an ein digitales 

Kommunikationsnetz angeschalteten Datenendeinrichtung 
gegen unberechtigte externe Zugriffe, mit folgenden 
Merkmalen: 

die Vorrichtung (60) ist zwischen wenigstens eine 
Datenendeinrichtung (20, 30) und eine 
NetzabschluBeinrichtung (50), die uber eine 
Endeinrichtungs-Anschluflleitung (40) verbunden sirid, 
zwischengeschaltet , 

wenigstens eine erste Speichereinrichtung (80, 85) zum 
Zwischenspeichern einer von der Datenendeinrichtung (20, 
30) uber. einen Steuerkanal iibertragenen Rufnummer, 
eine zweite Speichereinrichtung (110), in der wenigstens 
eine vorbestimmte Rufnummer ablegbar ist, 
eine Vergleichseinrichtung (100), die die 
zwischengespeicherte Rufnummer mit jeder gespeicherten 
Rufnummer vergleicht, und 

eine Einrichtung (120, 90, 95), die in Abhangigkeit von 
einem positiveh vergleichsergebnis die 

zwischengespeicherte Rufnummer zur Netzabschlufteinrichtung 
(50) weiterleitet oder in Abhangigkeit von einem negativen 
Vergleichsergebnis die Weitergabe der Rufnummer sperrt. 

2. Vorrichtung nach Anspruch 1, dadurch gekennzeichnet , dafl 
in der zweiteh Speichereinrichtung (110) ftir jede 
Datenendeinrichtung (20, 30) wenigstens eine vorbestimmte 
Rufnummer speicherbar ist. 

3. Vorrichtung nach Anspruch 1 oder .2, gekennzeichnet durch 
eine Steuereinrichtung (120), die bei einem negativen 
Vergleichsergebnis die Rufnummer aus der ersten 
Speichereinrichtung (80, 85) loscht, und durch 

einen Steuerkanal-Decoder (70), der aus einer von der 
Datenendeinrichtung (20, 30) ubertragenen 
Verbindungsaufbauinformation die Rufnummer und die 
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Identifikationsnummer der Datenendeinrichtung (20, 30) 
erhalt . 

4. Vorrichtung nach Anspruch 3, dadurch gekennzeichnet, dafi 
die Steuereinrichtung (120) unter Ansprechen auf die vom 
Steuerkanal-Decoder (70) erhaltene Identifikationsnummer 
nur die in der zweiten Speichereinrichtung (110) 
gespeicherten Rufnummern an die Vergieichseinrichtung 
(100) anlegt, die der entsprechenden Datenendeinrichtung 
(20, 30) zugeordnet sind. 

5. Vorrichtung nach Anspruch 3 Oder 4, dadurch 
gekennzeichnet , daB die Steuereinrichtung (120) bei einem 
positiven Vergleichsergebnis den Steuerkanal-Decoder (70) 
deaktiviert. 

6. Vorrichtung nach einem der Anspruche 1 bis 5, dadurch 
gekennzeichnet, daB die erste Speichereinrichtung (80, 85) 
ein Schieberegister ist. 

7. vorrichtung nach einem der Anspruche I bis 6, dadurch 
gekennzeichnet, daB die NetzabschluBeinrichtung (50) eine 
ISDN-AnschluBkonf iguration mit einer S 0 -Schnittstelle 

aufweist f daB die Endeinrichtungs-AnschluBleitung (40) ein 
S 0 -Bus ist, und daB der Steuerkanal der D-Kanal ist. 

8. Vorrichtung nach einem der Anspruche 1 bis 7, 
gekennzeichnet durch eine Tastatur zur Eingabe der 
vorbestimmten Rufnummern. 

9. vorrichtung nach einem der Anspruche 1 bis 8, 
gekennzeichnet durch eine Schnittstelle zum Anschalten 
eines Computers . 
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10. Vorrichtung nach einem der Ansprtiche 1 bis 9, 
gekennzeichnet durch eine Eiarichtung zur optischen 
und/oder akustischen Signalisierung eines 
Verbindungsabbruchs bei einem negativen 
Vergleichsergebnis . 

11. Vorrichtung nach einem der Anspruche 1 bis 10 , dadurch 
gekennzeichnet, daB die Vorrichtung (60) in der 
Netzabschlufleinrichtung (50) integriert ist. 

12. Vorrichtung nach einem der Anspruche 1 bis 11, 
gekennzeichnet durch eine Energieversorgungseinrichtung. 



1 / 1 





TV"T WELTOROAN1SATION FOR GE1ST1GES EIGENTUM 

Jr\-> J. Internationales Buro _ 

INTERNATIONALE ANMELDUNG VEROFFENTLICHT NACH DEM VERTRAG UBER DIE 
INTERNATIONALE ZUSAMMENARBHT AUF DEM GEBIET PES PATENTWESENS (PCT) 



(51) Internationale Patentklasslflkatton 6 : 
H04Q 11/04 



A3 



(11) Internationale Veroffcntlichungsnunimer: WO 98/53635 

26. November 1998 (26.1 1.98) 



(43) Internationales 

Verftffcntlichungsdatum : 



(21) Internationales Aktenzeichen: PCT/EP98/02I21 

(22) Internationales Anmeldedatum: 1 i . April 1998 (1 1.04.98) 



(30) PrioritStsdaten: 
197 20 719.7 



16. Mai 1997 (16.05.97) 



DE 



(71) Anmcldcr {fir alle Besummung&staaun ausscr 

US): DEUTSCHE TELEKOM AG [DE/DE]; 
Friedrich-Ebert-Allee 140, D-531 13 Bonn (DE). 

(72) Erflnder; und 

(75) Ernnder/Anmelder (nur fur US)\ STOLZ, Helmut [DE/DE]; 
Am Gensbergc 12, D-57080 Siegen (DE). 



(81) Bestimmungsstaaten: CA, CN, JP, KR, TR, US, europaisches 
Palenl (AT, BE, CH, CY, DE, DK, ES, FL FR, GB. GR, 
IE, IT, LU, MC. NL, PT, SE). 



VerdtTeatliebt 

Mit internationalem Recherchenburichl. 

(88) VerotTentlicbungidatnin des internationalen Recberchenbe- 
ricbis: 25. Februar 1999 (25.02.99) 



(54) Title: DEVICE FOR MONITORING A CONNECTION SETUP * 

(54) Bezeichnung: V^BINDUNGSAUFBAU-UBERWACHUNGSVORRICHTUNG 

(57) Abstract 

The invention relates to a device for pro- 
tecting a data terminal, specially a personal 
computer, connected to a digital communica- 
tion network against unauthorized external ac- 
cess. To this end, the device (60) is interposed 
between at kast one data terminal (20, 30) and 
a network terminal (50). which are connected 
via a terminal end connection (40). At least 
one storage device (80, 85) is provided for the 
intermediate storage of a call number transmit- 
ted by the data terminal (20, 30) via a control 
channel. At least one predetermined call num- 
ber is filed in a second storage device (110). 
A comparator compares the call number srored 
in the intermediate memory with each of the 
predetermined stored call numbers. In case of 
positive comparison results, the device trans- 
mits the call number stored in the intermediate 
storage to the network: terminal or blocks the 
transmission of the call number in case of neg- 
ative comparison results thereby impeding connection to a hacker. 




(57) ZusammenEassung 

Die Erfindung bctrifft cine Voirichtung zum Schutz cmcr an sin digitales Kcnimiinikationsnetz angeschalteten DatenendeinrichUing, 
insbcsondeie eines Perscnal-Computere, gegen unberechtigte exteme Zugriffe. Dazu isi die Vorrichtung (60) zwischen wemgstens cine 
Datenendeinrichmng (20, 30) und eioe NetzabscMuBeinricnumg (50) zv/ischengesdmltet, die Qber eine Endeinrichtimgs-AnschluCleit^ 
(40) verbunden sind. Wenigstens eine aste Speichercinrichtung (80, 85) isl vorgesehea urn eine von der Dateoendeinnchtung (20. 30) 
Qber einen Steucrkanal ubemagene Rnfnnmmer zwiscnenzuspekhem in einer zweiten Speichercinrichtung (110) ist wenigstens eine 
vorbestiniinte Rufnummer abgelegL Eine Verglcichscinrichtung vciglcicht die zv-ischengespeicnerte Rufnummcr rait jeder gespeicnenen 
vorbestimmten Rufnummer. In Abhangigkeit von einem positiveo Verglcicnsergebnis leitet eine Emrichtung die zwiscbengespejcherte 
Rufnummer zur NetzabschluBeinrichning wcitcr odcr spent in Abhangigkeit von einem negariven Vergleichsergebnis die Weitergabe der 
Rufnummer und vemindert damit einen Verbindungsaufbau zu einem Emdringling. 
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